配置 Kaspersky Security Center 以导出事件到 SIEM 系统
扩展所有 | 折叠所有
要将事件导出到 SIEM 系统,必须在 Kaspersky Security Center Web Console 中配置导出流程。
要在 Kaspersky Security Center Web Console 中配置到 SIEM 系统的导出:
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 ()。
管理服务器属性窗口将打开。
- 在“常规”选项卡上,选择“导出到 SIEM”区域。
- 单击“设置”链接。
“导出设置”区域将打开。
- 在“导出设置”区域指定设置:
- SIEM 系统服务器地址
安装了当前使用的 SIEM 系统的服务器的 IP 地址。在您的 SIEM 系统设置中检查此值。
- SIEM 系统端口
用于建立 Kaspersky Security Center 和您的 SIEM 系统服务器之间连接的端口号。您在 Kaspersky Security Center 设置中和您 SIEM 系统的接收设置中指定该值。
- 协议
选择该协议用于传输消息到 SIEM 系统。您可以选择 TCP/IP、UDP 或 TLS over TCP 协议。
如果选择 TLS over TCP 协议,则指定以下 TLS 设置:
- 服务器身份验证
在“服务器身份验证”字段中,可以选择值“受信任证书”或“SHA 指纹”:
使用“添加客户端身份验证”设置,可以生成证书来对 Kaspersky Security Center 进行身份验证。因此,您将使用 Kaspersky Security Center 颁发的自签名证书。在这种情况下,您可以同时使用受信任证书和 SHA 指纹来对 SIEM 系统服务器进行身份验证。
- 添加主题名称/主题备选名称
主题名称是接收证书的域名。如果 SIEM 系统服务器的域名与 SIEM 系统服务器证书的主题名称不匹配,Kaspersky Security Center 将无法连接到 SIEM 系统服务器。但是,SIEM 系统服务器的域名在证书中发生变化,则可以更改该域名。在这种情况下,您可以在“添加主题名称/主题备选名称”字段中指定主题名称。如果任一指定主题名称与 SIEM 系统证书的主题名称匹配,Kaspersky Security Center 将验证 SIEM 系统服务器证书。
- 添加客户端身份验证
对于客户端身份验证,可以插入证书或在 Kaspersky Security Center 中生成证书。
- 插入证书。您可以使用从任何来源(例如,从任何受信任 CA)收到的证书。您必须指定以下证书类型之一的证书及其私钥:
- X.509 证书 PEM。在“证书文件”字段中上传包含证书的文件,并在“密钥文件”字段中上传包含私钥的文件。这两个文件不相互依赖,文件的加载顺序也不重要。上传这两个文件后,在“密码或证书验证”字段中指定用于解码私钥的密码。如果私钥未编码,则密码可以为空值。
- X.509 证书 PKCS12。在“证书文件”字段中上传包含证书及其私钥的单个文件。上传该文件后,在“密码或证书验证”字段中指定用于解码私钥的密码。如果私钥未编码,则密码可以为空值。
- 生成密钥。您可以在 Kaspersky Security Center 中生成自签名证书。结果是,Kaspersky Security Center 将存储生成的自签名证书,您可以将证书的公共部分或 SHA1 指纹传递给 SIEM 系统。
- 数据格式
您可以选择系统日志、CEF 或 LEEF 格式,具体取决于 SIEM 系统的要求。
如果选择系统日志数据格式,您必须指定:
- 最大消息大小,字节
指定 SIEM 系统消息的最大大小。每个事件被一条消息转发。如果消息的精确长度超过指定值,消息被截断且数据可能丢失。默认大小是 2048 字节。仅当在“协议”字段中选择了系统日志格式后,该字段才可用。
- 如果需要,您可以从管理服务器数据库中导出压缩的事件,并设置要开始导出的压缩事件的开始日期:
- 单击设置导出起始日期链接。
- 在打开的部分中,在系统事件导出的起始日期字段中指定开始日期。
- 单击“正常”按钮。
- 将选项切换到“自动导出事件至 SIEM 系统数据库已启用”位置。
- 要检查 SIEM 系统连接是否已成功配置,请单击检查连接按钮。
将显示连接状态。
- 单击“保存”按钮。
到 SIEM 系统的导出已配置。
页顶